Настройка OpenVPN

[fisher74]

Если в Вашу, то шлюзом должен выставляться адрес OpenVPN сервера и опция в конфиге сервера будет звучать так

push "redirect-gateway def1"

В этом случае следующий параметр будет избыточным

push "route 192.168.1.0 255.255.255.0 10.1.1.1"

[tagilchanin]

Если в Вашу, то шлюзом должен выставляться адрес OpenVPN сервера и опция в конфиге сервера будет звучать так

push "redirect-gateway def1"

В этом случае следующий параметр будет избыточным

push "route 192.168.1.0 255.255.255.0 10.1.1.1"

Что я совсем запутался. Может я не правильно объяснил, мне нужно попасть во внутрь локальной сети. Увидеть ресур, который находится за шлюзом.
Я понял что у меня проблема с маршрутизацией. Когда логинюсь из под Windows, нет параметра Шлюз и пишет с лог вот это:

(Нажмите, чтобы показать/скрыть)

Tue Mar 29 14:28:45 2011 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Tue Mar 29 14:28:54 2011 Warning: route gateway is not reachable on any active network adapters: 255.255.255.0
Tue Mar 29 14:28:54 2011 SIGTERM[hard,] received, process exiting
Tue Mar 29 14:28:55 2011 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] built on Jan 23 2009
Tue Mar 29 14:28:55 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 29 14:28:55 2011 Control Channel Authentication: using 'C:\key\ta.key' as a OpenVPN static key file
Tue Mar 29 14:28:55 2011 LZO compression initialized
Tue Mar 29 14:28:55 2011 Attempting to establish TCP connection with xx.xx.xx.xx:1194
Tue Mar 29 14:28:55 2011 TCP connection established with xx.xx.xx.xx:1194
Tue Mar 29 14:28:55 2011 TCPv4_CLIENT link local: [undef]
Tue Mar 29 14:28:55 2011 TCPv4_CLIENT link remote: xx.xx.xx.xx:1194
Tue Mar 29 14:28:56 2011 [server] Peer Connection Initiated with xx.xx.xx.xx:1194
Tue Mar 29 14:28:57 2011 TAP-WIN32 device [Local Area Connection] opened: \\.\Global\{538D6430-90A2-4C1D-ABD6-541B25D8EBEC}.tap
Tue Mar 29 14:28:57 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.1.1.11/255.255.255.0 on interface {538D6430-90A2-4C1D-ABD6-541B25D8EBEC} [DHCP-serv: 10.1.1.0, lease-time: 31536000]
Tue Mar 29 14:28:57 2011 Successful ARP Flush on interface [131076] {538D6430-90A2-4C1D-ABD6-541B25D8EBEC}
Tue Mar 29 14:29:32 2011 Warning: route gateway is not reachable on any active network adapters: 255.255.255.0
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.0.9 p=0 i=65539 t=4 pr=3 a=3613615 h=0 m=10/-1/-1/-1/-1
10.1.1.0 255.255.255.0 10.1.1.11 p=0 i=131076 t=3 pr=2 a=34 h=0 m=30/-1/-1/-1/-1
10.1.1.11 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=34 h=0 m=30/-1/-1/-1/-1
10.255.255.255 255.255.255.255 10.1.1.11 p=0 i=131076 t=3 pr=2 a=34 h=0 m=30/-1/-1/-1/-1
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=3613615 h=0 m=1/-1/-1/-1/-1
192.168.0.0 255.255.255.0 192.168.0.157 p=0 i=65539 t=3 pr=2 a=3613615 h=0 m=10/-1/-1/-1/-1
192.168.0.157 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=3613615 h=0 m=10/-1/-1/-1/-1
192.168.0.255 255.255.255.255 192.168.0.157 p=0 i=65539 t=3 pr=2 a=3613615 h=0 m=10/-1/-1/-1/-1
224.0.0.0 240.0.0.0 10.1.1.11 p=0 i=131076 t=3 pr=2 a=34 h=0 m=30/-1/-1/-1/-1
224.0.0.0 240.0.0.0 192.168.0.157 p=0 i=65539 t=3 pr=2 a=3613615 h=0 m=10/-1/-1/-1/-1
255.255.255.255 255.255.255.255 10.1.1.11 p=0 i=131076 t=3 pr=2 a=332733 h=0 m=1/-1/-1/-1/-1
255.255.255.255 255.255.255.255 192.168.0.157 p=0 i=65539 t=3 pr=2 a=3613615 h=0 m=1/-1/-1/-1/-1
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V9
  Index = 131076
  GUID = {538D6430-90A2-4C1D-ABD6-541B25D8EBEC}
  IP = 10.1.1.11/255.255.255.0
  MAC = 00:ff:53:8d:64:30
 GATEWAY = 
  DHCP SERV = 10.1.1.0
  DHCP LEASE OBTAINED = Tue Mar 29 14:28:58 2011
  DHCP LEASE EXPIRES  = Wed Mar 28 14:28:58 2012
  DNS SERV = 
Intel(R) PRO/1000 EB Network Connection with I/O Acceleration
  Index = 65539
  GUID = {53EDA439-2B4F-4211-8718-8ECDDDFD1947}
  IP = 192.168.0.157/255.255.255.0
  MAC = 00:15:17:1b:39:2c
  GATEWAY = 192.168.0.9/0.0.0.0
  DNS SERV = 192.168.0.9
Tue Mar 29 14:29:32 2011 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

[fisher74]

Вы опцию push "route-gateway 192.162.1.248 255.255.255.0" заменили той, что я Вам предложил?

(Нажмите, чтобы показать/скрыть)

push "redirect-gateway def1"

[tagilchanin]

Вы опцию push "route-gateway 192.162.1.248 255.255.255.0" заменили той, что я Вам предложил?

(Нажмите, чтобы показать/скрыть)

push "redirect-gateway def1"

Да менял, вот вывод route:

(Нажмите, чтобы показать/скрыть)

хх.хх.хх.хх(внешний IP удаленного серерва)   192.168.0.9     255.255.255.255 UGH   0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     2      0        0 eth0
10.1.1.0        *               255.255.255.0   U     0      0        0 tap0
link-local      *               255.255.0.0     U     0      0        0 vboxnet0
link-local      *               255.255.0.0     U     1000   0        0 eth0
default         192.168.0.9     0.0.0.0         UG    0      0        0 eth0

Доступа есть только к серверу дальше нет

[fisher74]

Это чья таблица? (и, кстати, показывайте с параметром -n)
После смены сервер (OpenVPN) перезапускали?
Пользователь решил продолжить мысль 29 Марта 2011, 14:54:37:Можете показать получившийся конфиг сервера и результат iptables-save (не забываем sudo)

[tagilchanin]

Это чья таблица? (и, кстати, показывайте с параметром -n)
После смены сервер (OpenVPN) перезапускали?
Пользователь решил продолжить мысль 29 Марта 2011, 14:54:37:Можете показать получившийся конфиг сервера и результат iptables-save (не забываем sudo)

Это таблица клиента который подключается к серверу OpenVPN.
Вывод iptables-save:

(Нажмите, чтобы показать/скрыть)

iptables-save
# Generated by iptables-save v1.4.4 on Tue Mar 29 15:02:27 2011
*mangle
:PREROUTING ACCEPT [106723:22580952]
:INPUT ACCEPT [37681:14387893]
:FORWARD ACCEPT [6019:310399]
:OUTPUT ACCEPT [32150:20860560]
:POSTROUTING ACCEPT [38167:21176273]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Mar 29 15:02:27 2011
# Generated by iptables-save v1.4.4 on Tue Mar 29 15:02:27 2011
*filter
:INPUT ACCEPT [1130:103680]
:FORWARD ACCEPT [5417:279078]
:OUTPUT ACCEPT [32116:20858124]
-A INPUT -i ppp0 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -s 10.1.1.0/24 -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT
# Completed on Tue Mar 29 15:02:27 2011
# Generated by iptables-save v1.4.4 on Tue Mar 29 15:02:27 2011
*nat
:PREROUTING ACCEPT [60549:6787547]
:POSTROUTING ACCEPT [780:51710]
:OUTPUT ACCEPT [716:48174]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -s 192.168.1.0/24 -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j SNAT --to-source xx.xx.xx.xx
COMMIT
# Completed on Tue Mar 29 15:02:27 2011

Конфигурация сервера:

(Нажмите, чтобы показать/скрыть)

cat /etc/openvpn/openvpn_srv.conf
# режим сервера
mode server
# использовать TLS-аутентифкацию
tls-server
tls-timeout 120
# прослушивание по tcp-протоколу
proto tcp-server
# использовать tap устройство
dev tap
# прослушиваемый порт 1194
port 1194
# скрипт который будет выполнятся при поднятии впн туннеля
# up /etc/openvpn/upscript.sh
# режим демона
daemon


# TLS-ключ
tls-auth /etc/openvpn/keys/ta.key 0
# указываем файл с CA
ca /etc/openvpn/keys/ca.crt
# сертификат сервера
cert /etc/openvpn/keys/sotcium.crt
# указываем ключ сертификата
key /etc/openvpn/keys/sotcium.key
# файл Диффи-Хеллмана
dh /etc/openvpn/keys/dh1024.pem


# указываем IP-адрес сервера и маску виртуальной сети
ifconfig 10.1.1.1 255.255.255.0
# описываем наш vpn пул
# IP-адрес через push "ifconfig адрес маска"
ifconfig-pool 10.1.1.10 10.1.1.150
# Если вы хотите, что бы за клиентами закреплялись постоянные адреса,
# добавьте следующий параметр:
# Он определяет файл, в котором будет сохраняться информация о машине и ее IP.
# Файл содержит строки:
# Имя машины,IP адрес. Во время работы.
# Cервер с периодичностью в 600 секунд обновляет содержимое этого файла.
# При включении, сервер читает содержимое файла.
# Эта обция НЕ РАБОТАЕТ если включено duplicate-cn
ifconfig-pool-persist /var/log/openvpn-ipp.txt
# В этом файле сохраняется информация о текущих соединениях сервера.
status /var/log/openvpn-status.log 1
status-version 2
# Добавляем клиенту необходимые маршруты на локальные подсети, например:

push "redirect-gateway def1"
# Шлюз для вышеуказанных маршрутов
#push "route-gateway 192.168.1.248 255.255.255.0"

# разрешаем обмен трафиком между клиентами
client-to-client
# разрешаем дублирование сертифкатов
# если упустить эту опцию то на каждого клиента надо
# генерировать отдельный сертификат с помощью pkitool
#duplicate-cn
# включаем режим отладки
verb 3
# алгоритм шифрования.Список алгоритмов можно получить
# с помощью команды openvpn --show-ciphers
cipher DES-EDE3-CBC
# не перечитывать ключ при сбросе соединения
persist-key
# лог файл
log-append /var/log/openvpn.log
persist-tun
# включаем сжатие
comp-lzo

[fisher74]

Есть предположение, что это dhcp у клиента перебивает дефолтный шлюз... гхм...
тогда видимо надо вернуть строку в конфиге сервера

Код: [Выделить]

push "route 192.168.1.0 255.255.255.0 10.1.1.1"

[tagilchanin]

Есть предположение, что это dhcp у клиента перебивает дефолтный шлюз... гхм...
тогда видимо надо вернуть строку в конфиге сервера

Код: [Выделить]

push "route 192.168.1.0 255.255.255.0 10.1.1.1"

Вернул дрова в исходное

[fisher74]

И как результат? У клиента в таблице маршрутизации изменения есть?
Пользователь решил продолжить мысль 29 Марта 2011, 16:53:06:А во ... что-то я загнался. Можно вот такую опцию добавить

Код: [Выделить]

push "redirect-gateway"Тогда дефолтный шлюз тоже должен перебросится (но если у клиента на той стороне DHCP, то я не знаю как они сработаются)

[tagilchanin]

И как результат? У клиента в таблице маршрутизации изменения есть?
Пользователь решил продолжить мысль 29 Марта 2011, 16:53:06:А во ... что-то я загнался. Можно вот такую опцию добавить

Код: [Выделить]

push "redirect-gateway"Тогда дефолтный шлюз тоже должен перебросится (но если у клиента на той стороне DHCP, то я не знаю как они сработаются)

Все страньше и страньше. Пинг есть, трассировка идет. Но ресурс не доступен.

[fisher74]

Ну это уже много лучше.
Главное чтобы на ресурсе ещё какой-нить файрвол не капризничал. Всё-таки подсетка другая...
Какая ось на держателе ресурса? на клиенте в удалённой сети?

[tagilchanin]

Ну это уже много лучше.
Главное чтобы на ресурсе ещё какой-нить файрвол не капризничал. Всё-таки подсетка другая...
Какая ось на держателе ресурса? на клиенте в удалённой сети?

Стоит windows xp proff, кстати с другого компа (тож windows) я вижу компы которые входят в подсеть, которая находится за vpn. Т.е. netbios работает

[fisher74]

Он может работать, но может не пустить брандмауер. Дальше тема выходит за рамки форума.
Пинги есть, трассировка идёт, значит вплоть до транспортного уровня всё нормально.
Ограничений по портам в таблесах я не видел у Вас.

Ставьте в качестве ресурса и клиента Linux-машины, будем искать проблему (если она есть) дальше.

[tagilchanin]

Он может работать, но может не пустить брандмауер. Дальше тема выходит за рамки форума.
Пинги есть, трассировка идёт, значит вплоть до транспортного уровня всё нормально.
Ограничений по портам в таблесах я не видел у Вас.

Ставьте в качестве ресурса и клиента Linux-машины, будем искать проблему (если она есть) дальше.

Спасибо большое за советы буду дальше смотреть

[conan]

так чем закончилось всё ? получилось настроить ?